こんにちは、きょーこです。
Jamf Connect Sync を使って Mac のローカルアカウントと Okta のパスワードを同期してみました。その際の手順について書いていきます。
Mac のローカルアカウントは Jamf Connect Login (Okta) で作成したアカウントになります。 これについては前回のブログ 「Jamf Connect を使って Mac に Okta アカウントでログインしてみた」 を読んでみてください。
注意事項
本記事は、Jamf Connect Login を使って Mac に Okta アカウントでログインしている事が前提になります。
そもそも Jamf Connect Sync とはなんなの?
Jamf Connect Sync とは 以前の NoMAD Pro にあたります。
簡単にいうとログイン後の Mac ローカルアカウントパスワードと、Okta パスワードを同期させる事ができるものです。
Okta アカウントにサインインし、Okta と Mac のローカルアカウントのパスワードを同期させる事ができるのです。
本手順で必要な物
- Jamf Connect Configuration (Jamf Nation からダウンロード)
- Jamf Connect Sync パッケージ (Jamf Nation からダウンロード)
- Jamf Connect ライセンス
参考にしたドキュメント
工程
- Jamf Connect Configuration で署名済み構成プロファイルを作成
- Jamf Pro で Jamf Connect Sync 用構成プロファイルを作成
- Jamf Pro で ポリシーを2つ作成
- Jamf Connect Sync によるパスワード同期の挙動を確認
- Jamf Pro で Google Chrome ブラウザ拡張機能用の構成プロファイルを作成
1. Jamf Connect Configuration で署名済み構成プロファイルを作成
Jamf Connect Configuration を使用して Jamf Connect Sync の構成プロファイルを作成します。
構成プロファイルは Jamf Pro にアップロードする際に証明書で署名済みである必要があります。
署名証明書の作成方法および保存時に署名を要求されるようにする設定方法については「Jamf Connect を使って Mac に AzureAD アカウントでログインしてみた」 ブログ内に記載しているのでわからない方は参考にしてみてください。
また、構成プロファイルの [Identity Provider] 項目は、Jamf Connect Login Okta 構成プロファイル の設定と 同様 にしてください。
1-1. Jamf Connect Sync 構成プロファイルの作成
- Jamf Connect Configuration を起動します。
- 左上の [+New] をクリックします。
- Setup Assistant ウィンドウで以下を設定し、[Advanced Setup] をクリックします。
- Identity Provider:Okta
- Auth Server:Jamf Connect Login Okta 構成プロファイルと同様のドメイン名
- [Identity Provider] > [Okta] 項目で Jamf Connect Login Okta 構成プロファイルと同様の以下設定を追加します。
- Admin Client ID:管理者ユーザー用統合 App の Client ID
- Access Client ID:標準ユーザー用統合 App の Client ID
- [Identity Provider] > [Advanced OIDC] 項目で以下を追加設定します。
- Token Caching:チェックを入れます。
- OIDC Redirecy URl:jamfconnect://127.0.0.1/jamfconnect
- 今回はオプションを追加するので画面上部の [Sync] をクリックして追加設定を行います。
- [Check for Safari extention] :Safari でブラウザ拡張機能が有効になっていない場合にユーザーに通知します。(ブラウザ拡張機能については後述してあります。)
- [Auto authenticate] :ブラウザの機能拡張から Jamf Connect Sync UI を呼び出し、ユーザーを自動的に認証できるようにします。つまりユーザーのパスワード入力の手間が省略されます。
- [Use keychain] :Okta パスワードをキーチェーンに保存できるようにします。自動認証の際にキーチェーンに保存されたパスワードが必要となるのでチェックを入れます。
- [Sync local password] :Jamf Connect Sync が Okta とローカルアカウントのパスワードを同期出来るようにします。
- [Check for Safari extention] :Safari でブラウザ拡張機能が有効になっていない場合にユーザーに通知します。(ブラウザ拡張機能については後述してあります。)
- メニューバーの [File] > [Save] をクリックして表示されたウィンドウで Jamf Connect Sync と .mobileconfig 形式を選択して保存します。
- 署名に使用する証明書を聞かれるので、署名証明書を選択して [Choose] ボタンをクリックして任意の名前で任意の場所に保存します。
これで Jamf Connect Sync 用の構成プロファイルは完成です。
2. Jamf Pro に Jamf Connect Sync 構成プロファイルを作成
Jamf Pro にアクセスして先ほど作成した 「Jamf Connect Sync 構成プロファイル」 をアップロードして構成プロファイルを作成します。
以下2つの構成プロファイルは Jamf Connect Login (Okta) 設定時に作成済みです。
- Jamf Connect ライセンス配布構成プロファイル
- FileVault自動ログイン無効化構成プロファイル
詳しくはJamf Connect を使って Mac に Okta アカウントでログインしてみたを参照してください。
2-1. Jamf Pro に Jamf Connect Sync 構成プロファイルをアップロード
- [コンピュータ] > [構成プロファイル] > [アップロード] をクリックします。
- Jamf Connect Configuration で作成した構成プロファイルを選択してアップロードします。
- [Scope] で構成プロファイルを配布する対象を設定たら [保存] します。
3. Jamf Pro でポリシーを2つ作成
Jamf Pro にアクセスして以下2つのポリシーを作成します。
- Jamf Connect Sync パッケージ配布用
- Jamf Connect Sync ログイン時起動ポリシーの作成
「Jamf Connect Sync パッケージ」と、「Jamf Connect Sync ログイン時起動エージェント」は Jamf Nation からダウンロードしてください。
NoMad Pro がコンピューターにインストールされている場合は、NoMad Pro をアンインストールする必要があります。 アンインストール用のパッケージも起動エージェント一緒に Jamf Nation からダウンロードできます。
3-1. インストーラーパッケージ を Jamf Pro にアップロード
- Jamf Pro にアクセスします。
- 画面右上の [歯車マーク] > [コンピュータ管理] > [パッケージ] をクリックします。
- [+新規] をクリックして一般を任意の情報で設定し、[ファイルを選択] からインストーラーパッケージを選択します。
- [保存] します。
3-2. インストーラパッケージ配布ポリシーの作成
- [コンピュータ] > [ポリシー] > [+新規] をクリックします。
- [General] を任意の情報で設定します。
- [パッケージ] > [Configure] をクリックします。
- 先ほどアップロードしたパッケージを [追加] ボタンをクリックして追加します。
- [Scope] で構成プロファイルを配布する対象を設定したら [保存] します。
3-3. Jamf Connect Sync ログイン時起動エージェントを Jamf Pro にアップロード
- Jamf Pro にアクセスします。
- 画面右上の [歯車マーク] > [コンピュータ管理] > [パッケージ] をクリックします。
- [+新規] をクリックして一般を任意の情報で設定し、[ファイルを選択] から起動エージェントパッケージを選択します。
- [保存] します。
3-4. Jamf Connect Sync ログイン時起動ポリシーの作成
ログイン時に Jamf Connect Sync を起動するよう指示するポリシーを作成します。
- [コンピュータ] > [ポリシー] > [+新規] をクリックします。
- [General] を任意の情報で設定します。
- [パッケージ] > [Configure] をクリックします。
- 先ほどアップロードしたパッケージを [追加] ボタンをクリックして追加します。
- [Scope] で構成プロファイルを配布する対象を設定したら [保存] します。
これで Jamf Connect Sync による Okta とローカルアカウントのパスワード同期が可能になりました。
4. Jamf Connect Sync によるパスワード同期の挙動を確認
ローカルアカウントのパスワードを故意に変更して、同期の挙動を確認します。
- Mac 端末上でローカルアカウントのパスワードを変更します。
- Jamf Connect Sync アイコンをクリックして [Sign in] をクリックします。
- Okta アカウントの情報を入力して [Sign In] をクリックします。
- MFA の形式を選択して [OK] をクリックし、モバイルデバイスで承認します。
- Okta とローカルアカウントのパスワードが異なった場合に、同期を求めるウィンドウが表示されるのでローカルアカウントのパスワードを入力して [Sync] ボタンをクリックします。
- これにより Okta とローカルアカウントのパスワードが同期されます。
5. Google Chrome ブラウザ拡張機能構成プロファイルの作成
ブラウザ拡張機能を使って、Okta サインインページにサインインする際に自動認証するよう設定しました。 その際に必要な Google Crome ブラウザ拡張機能を有効にする構成プロファイルを作成します。
5-1. その前にブラウザ拡張機能って何…?
Jamf Connect Sync ブラウザ拡張機能を使うと、Okta にサインインするときにユーザーがどの Web ページにリダイレクトするかを決められます。
Jamf Connect Sync のブラウザ拡張機能が使用できるブラウザは以下になります。
- Safari
- Google Chrome
- Firefox
Firefox に関しては公式ドキュメントに記載がされていませんが使用できるようです。
Safari のブラウザ拡張機能は Jamf Connect Sync のアプリケーションバンドルの一部として含まれていますが、Google Chrome の場合は含まれていません。 なので、Chrome の拡張機能を使用する場合は、有効にする構成プロファイルを配布する必要があります。 この構成プロファイルは Jamf Nation からダウンロードできます。
また、Safari の場合 Jamf Connect Sync の初回起動時にこの拡張機能を追加はしますが有効にはしません。 そのため、拡張機能の有効化はユーザーに作業してもらう必要があります。 管理者は Jamf Connect Configuration で Jamf Connect Sync 構成プロファイルを作成する際に、[Sync] > [Check for Safari extention] にチェックを入れる事でユーザーに有効化するよう促す事ができます。
今回は Google Chrome のブラウザ拡張機能を使用しました。
それと拡張機能が呼び出されるタイミングですが、ブラウザが以下のサイトにアクセスして認証が必要な場合になります。
- okta-emea.com
- okta.com
- oktapreview.com
5-2. Google Chrome ブラウザ拡張機能構成プロファイルを Jamf Pro にアップロード
- [コンピュータ] > [構成プロファイル] > [アップロード] をクリックします。
- Jamf Nation からダウンロードした Chrome ブラウザ拡張機能構成プロファイルを選択してアップロードします。
- [Scope] で構成プロファイルを配布する対象を設定たら [保存] します。
この構成プロファイルが割当たると Google Chrome の拡張機能に [NoMAD Pro Okta] というのが追加されます。 
シークレットウィンドウでもブラウザ拡張機能を有効にしたい場合は [詳細] をクリックして、[シークレットモードでの実行を許可する] を有効にしてください。 
5-3. Chrome ブラウザ拡張機能を使った自動認証の挙動確認
この自動認証は実装するには、Jamf Connect Configuration で Jamf Connect Sync 構成プロファイルを作成する際に以下 2つ のオプションを追加している必要があります。
- [Auto authenticate]
- [Use keychain]
(本記事の [1-1. Jamf Connect Sync 構成プロファイルの作成])
セッションが残っていたりして挙動がわかりづらいと嫌なので、シークレットウィンドウで挙動確認をしました。 シークレットウィンドウを使用する場合は、シークレットウィンドウでもブラウザ拡張機能を使用できるように設定しておいてください。
- Google Chrome シークレットウィンドウで Okta サインインページもしくは Okta と連携しているアプリにアクセスします。
- Jamf Connect Sync のサインインウィンドウが起動し、自動認証を実行します。
- MFA の形式を選択して通知し、モバイルデバイスで承認すると対象ページにアクセスします。
ブラウザ拡張機能を使った自動認証で、 Okta への認証の際のパスワード入力が省略されました!
まとめ
こんな感じで Okta と Mac ローカルアカウントのパスワードを Jamf Connect Sync を使って同期してみました。
ブラウザ拡張機能を使った自動認証を実装すれば、Okta 認証の際のパスワード入力が省略されるので、ユーザーの負担が減ります。 これはユーザー体験としてはかなりいいのではないかと思います。
ユーザー体験がよくないものを導入しても仕方ないですから、そういった面でも Jamf Connect Sync は優れているのではないのかなと感じます。
Jamf Connect Login (Okta) と Jamf Connect Sync を実装したよりセキュアで便利な端末を使ってしばらく過ごしていくのでまた何か疑問や発見があれば随時ブログで発信していきます。
